病毒名称(中文):
8749流氓软件
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
木马程序
病毒长度:
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
阻止安全软件运行和升级,锁定IE主页为www.8749.com,可通过远程控制下载其它木马或广告程序。
1、关闭出现特定字符串的窗口
一些常见安全软件的字符串都在列表,即使用IE打开搜索页面,搜索这些字符,窗口也会被关闭。出问题的时候,用户也无法求助于搜索引擎。
被屏蔽的字符列表(各变种有所差异):
360safe
Wopticlean
Kakasetup
ras.exe
金山毒霸
Btbaicai
Wopticlean
360safe
卡卡
IE修复
安全卫士
病毒
流氓
专杀
锁定浏览器
修改
修复
清除
删除
中了百度知道
2、反金山清理专家
关闭KASMain.exe进程
清除SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce下的KASTask
3、修改HOST文件
当前版本列表(各版本有所不同):
125.91.1.20www.37021.net
125.91.1.2037021.net
125.91.1.205235.net
125.91.1.20www.5235.net
125.91.1.20www.7255.com
125.91.1.20www.2345.com
125.91.1.20www.9991.com
125.91.1.20www.haol23.net
125.91.1.20www.kzdh.com
125.91.1.20www.qu123.com
127.0.0.1www.duba.net
127.0.0.1duba.net
127.0.0.1bbs.360safe.com
127.0.0.1www.okbihoo.cn
127.0.0.1okbihoo.cn
4、系统DLL注入QQ(病毒启动10分钟之后)
利用LOADLIBRARY在不传入全路径的情况下会先从当前目录尝试读取DLL的特性,在系统目录复制rasadhlp.dll,通过在该DLL的输入目录中添加自己的DLL,以达到随QQ一起启动的目的。
5、禁用XP自带的系统还原
在SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore的DisableSR键值改成1。
6、破坏安全模式
把System\CurrentControlSet\Control\SafeBoot下的所有注册表项都清空
程的环境下,该病毒有可能导致程序崩溃。该钩子的作用是隐藏自己在注册表中的启动项
7、改写自身程序文件时间
获取kernel32.dll的创建时间修改时间和访问时间,修改自身文件时间与其相一致,逃避根据文件时间的检查。
8、修改IE
修改了
Software\Microsoft\InternetExplorer\Search
Software\Microsoft\InternetExplorer\Main
搜索主页和默认主页修改为http://www.8749.com
在程序运行后的10分钟之后(Sleep函数)才实现这部分功能。
9、远程控制
最基本的远程控制模块,包括一个以当前版本号,网络适配器信息和C盘的硬件信息为标记,发送数据包通知服务端在线的模块,以及能够响应服务端命令,下载并执行程序的模块。
10、自动更新
当版本号与服务端不一致的时候,会自动下载最新版并覆盖原来的版本。
